文档介绍：企业网络安全规划研究
摘 要 网络安全外部形势瞬息万变,攻击数量持续上升,企业网络安全的重要性日益提升,针对企业面临的网络安全风险,本文结合法规要求及优秀实践,从纵深防御、动态防护,综合治理三个角度提出企业网络安全的规划要点。企业网络安全规划研究
摘 要 网络安全外部形势瞬息万变,攻击数量持续上升,企业网络安全的重要性日益提升,针对企业面临的网络安全风险,本文结合法规要求及优秀实践,从纵深防御、动态防护,综合治理三个角度提出企业网络安全的规划要点。
关键词 规划;网络安全;企业信息化
1 新时期网络安全背景
《中华人民共和国网络安全法》的颁布、《网络安全等级保护标准 》的修订,要求企业加强网络安全制度建设,落实责任制,切实承担网络安全职责。
同时,外部威胁日益增多,国家互联网应急中心(CNCERT/CC)统计数据显示,2017年我国境内约2万个网站被篡改,较2016年增长20%;国家信息安全漏洞共享平台(CNVD),较2016年增长47%。对企业的生产经营造成较大威胁[1]。
2 企业网络安全整体规划
企业的网络安全规划,需要以“网络安全等级保护”为核心,结合网络安全的各项工作内容和企业实际管理特点,构建从内到外的安全技术纵深防护手段,实现安全态势的统一监控和预警处置,同时强化各类安全工作的协同互补。在网络安全的建设过程中,严格落实三同步(与信息系统同步规划设计、同步实施、同步投入运行)。
纵深防御
纵深防御旨在多个层次防线上使用互相独立的不同防护手段,使每一层都能在前一层安全控制失效或漏洞被利用时提供冗余,从而达到阻止攻击的效果。参照《信息安全技术 网络安全等级保护基本要求》,企业纵深防御可以分为:物理环境安全、通信网络安全、计算环境安全 这几层。通过在不同层进行相应的安全加固,避免网络安全的单点风险,有效的防范外部攻击。
物理环境安全主要指机房及数据中心安全,包括防震防雷击、防火、防水防潮、电磁防护、温湿度控制、电力供应保障以及出入机房的专职值守及电子门禁等。在实际防护过程中,重点关注的是对人员进出机房的管理以及机房动力环境(暖通、电力)的保障。
通信网络安全主要包括网络架构的可靠性、网络边界防护、信息传输中的加密及防窃取、网络的安全审计。对于大型集团的网络,需要根据业务及应用系统的重要性,同时做好内部网络的分区分域隔离。网络安全是企业的防护重点,目前大量企业安全防护主要集中在网络边界防护上,防护手段包括部署防护墙、WAF、防DDos攻击、上网行为管理设备等。但除了关注网络边界安全外,大型企业需要更加关注内网的分区分域隔离,以及总部和分支机构数据传输过程中的数据加密,避免出现网络边界某一点被攻击后,整个内网被全面突破。
计算环境安全包括两大部分内容,一部分是服务器/云平台/虚拟主机的身份鉴别、访问控制、恶意代码防范等。另一部分是部署在服务器上的应用系统和数据的安全,同样包括访问控制、身份鉴别、系统备份恢复、敏感数据的分级分类及全生命周期管理等。这块是技术防护的难点和重点,在防护过程中,第一是要建立基线,关闭不必要的端口并授权用户最小权限;第二是要加强密码的管理,需要定期更换密码